Blogartikel unserer Fachexperten

Wie können Sie Microsoft 365 datenschutzkonform nutzen? Ein umfassender Leitfaden

Geschrieben von Salomo Dobberschütz | 02.05.2024 13:15:00

Das Thema Datenschutz in Bezug auf Microsoft 365 ist in Fachkreisen umstritten und die Meinungen dazu sind gespalten. Es ist jedoch wichtig, sich nicht ausschließlich auf Probleme zu konzentrieren, sondern auf Lösungen, um diese in den Griff zu bekommen. Stattdessen sollte man erkennen, dass eine angemessene Vorgehensweise es ermöglicht, die vielfältigen Vorteile von Microsofts Clouddiensten effektiv in den Arbeitsalltag zu integrieren.

Es ist durchaus möglich, die vielen Vorteile von Cloud-Diensten wie Microsoft 365 für Unternehmen zu nutzen. Dazu zählen unter anderem eine verbesserte Zusammenarbeit, erhöhte Flexibilität und Skalierbarkeit. Um diese Vorteile voll auszuschöpfen und gleichzeitig den Datenschutz zu gewährleisten, ist eine datenschutzkonforme Einrichtung und Verwaltung von Microsoft 365 notwendig.

In diesem Artikel erfahren Sie, wie Sie Microsoft 365 datenschutzkonform in den Arbeitsalltag Ihres Unternehmens integrieren können. Hier finden Sie die entscheidenden Schritte, um eine sichere und rechtskonforme Nutzung zu gewährleisten:

Finden Sie die optimale Microsoft 365 Lizenzierung für Ihr Unternehmen

Die Wahl der passenden Microsoft 365-Lizenz ist ausschlaggebend, um sowohl den Bedürfnissen Ihres Unternehmens gerecht zu werden als auch die Datenschutzbestimmungen einzuhalten. Eine optimale Lizenzierung gewährleistet es, dass Sie nicht nur effizient und kostengünstig arbeiten können, sondern auch keine Kompromisse bei der Sicherheit Ihrer Daten eingehen müssen.

Eine empfehlenswerte Strategie insbesondere für Unternehmen ist eine Kombination aus „Microsoft 365 Business Premium“ für die Mitarbeiter und „Microsoft 365 E5“ für Administratoren zu wählen. „Microsoft 365 Business Premium“ bietet eine solide Grundlage für die tägliche Arbeit und Zusammenarbeit innerhalb Ihres Unternehmens. Diese Lizenz umfasst alle wesentlichen Tools, die für effiziente Kommunikation und Produktivität benötigt werden. Ergänzend dazu bietet die „Microsoft 365 E5“-Lizenz zusätzliche Sicherheits- und Compliance-Tools. Diese Erweiterungen sind besonders für Administratoren entscheidend, da sie umfangreichere Kontrollmöglichkeiten und Schutzmechanismen für Netzwerke und Unternehmensdaten bereitstellen.

Weitere Informationen zu den genannten Lizenzierungen und den spezifischen Features jeder Lizenzoption finden Sie direkt auf der Microsoft-Website unter:

Stellen Sie sicher, dass alle notwendigen Verträge vorliegen

Verlassen Sie sich nicht ausschließlich auf Ihren IT-Dienstleister. Als Vertragspartner tragen Sie letztlich die rechtliche Verantwortung.

Es ist von entscheidender Bedeutung, dass Sie sich vorher mit den Verträgen mit Microsoft, sowie mit den Bestimmungen der DSGVO und anderer relevanter Datenschutzgesetze auseinandersetzen. Nur so können Sie gewährleisten, die Richtige Lizenz für Ihr Unternehmen zu wählen und den Datenschutzbestimmungen zu entsprechen. Daher ist eine gründliche Überprüfung und sorgfältige Zusammenstellung der Auftragsverarbeitungsverträge unerlässlich. Die Verträge können Sie unter folgendem Link einsehen: https://www.microsoft.com/licensing/docs

Einbeziehen des Betriebsrat bei Microsoft 365

Falls ein Betriebsrat existiert, ist es erforderlich, diesen in den Prozess einzubeziehen. Die Kooperation mit dem Betriebsrat bei der Erstellung von Dienstvereinbarungen trägt dazu bei, den Einsatz von Microsoft 365 in Ihrem Unternehmen rechtssicher zu gestalten.

Konfiguration Ihres Microsoft 365 Tenants und Anpassung Ihrer Sicherheitseinstellungen

Eine fachgerechte Beratung zur optimalen Konfiguration Ihres Microsoft 365-Tenants ist essentiell, um Datenschutz und Sicherheit zu maximieren, ohne die Benutzerfreundlichkeit zu beeinträchtigen. Zusätzlich ist es wichtig, Ihre Sicherheitseinstellungen regelmäßig zu überprüfen und anzupassen. Dies stellt sicher, dass Ihre Einstellungen stets den aktuellen Sicherheitsstandards entsprechen.

Warum ist das wichtig?

Sicherheitseinstellungen müssen kontinuierlich den neuesten Bedrohungen und Risiken angepasst werden, um Datenlecks und andere Sicherheitsverletzungen zu vermeiden.

Wie wird das umgesetzt?

Dies sollte durch regelmäßige Sicherheitsüberprüfungen und Beratungen von Experten in IT-Sicherheit und Datenschutz erfolgen, die Ihnen dabei helfen, stets starke und effektive Sicherheitsmaßnahmen zu implementieren.

Wer kann das für Sie tun?

Fachkundige IT-Dienstleister oder Ihre interne IT-Abteilung sollten hierfür verantwortlich sein.

Anfertigung einer Risikoanalyse

Bei der Einführung neuer Software ist stets vorab eine Risikoanalyse durchzuführen. Diese Analyse dient dazu, mögliche Risiken zu identifizieren, die mit der Nutzung der Software verbunden sein könnten. Abhängig von den Ergebnissen dieser Risikobewertung kann zudem eine Datenschutzfolgeabschätzung erforderlich sein (Art. 35 DSGVO), besonders wenn die Software personenbezogene Daten verarbeitet und damit potenzielle Datenschutzrisiken birgt.

Eine Risikoanalyse umfasst üblicherweise mehrere Schritte: Zunächst wird das Szenario, in dem die Software eingesetzt wird, genau untersucht. Es folgt die Identifikation und Bewertung aller denkbaren Risiken, die sich aus der Nutzung der Software ergeben könnten. Diese Risiken werden dann nach ihrer Eintrittswahrscheinlichkeit und potenziellen Auswirkungen kategorisiert. Auf Basis dieser Informationen werden Maßnahmen entwickelt, um die Risiken zu minimieren oder gänzlich zu vermeiden. Dieser Prozess hilft, den sicheren und konformen Einsatz der Software im Unternehmenskontext sicherzustellen.

Bei der Durchführung einer Risikoanalyse und einer Datenschutzfolgeabschätzung können verschiedene Experten hilfreich sein:

  1. Datenschutzbeauftragte: Diese Fachleute sind speziell ausgebildet, um Unternehmen bei der Einhaltung von Datenschutzgesetzen zu unterstützen. Sie können bei der Identifizierung von Risiken helfen und Empfehlungen zur Minimierung dieser Risiken geben.
  2. IT-Sicherheitsexperten: Diese Experten haben tiefgreifendes Wissen über Netzwerksicherheit, Softwarekonfiguration und Cyber-Risikomanagement. Sie können technische Risiken bewerten und entsprechende Sicherheitsmaßnahmen vorschlagen.
  3. Rechtsberater: Anwälte, die auf Datenschutzrecht spezialisiert sind, können rechtliche Beratung bieten, um sicherzustellen, dass alle Aktivitäten im Einklang mit den geltenden Gesetzen und Vorschriften stehen.
  4. Externe Beratungsfirmen: Viele Unternehmen spezialisieren sich auf Datenschutz und IT-Sicherheit und bieten umfassende Beratungsdienste an, die von der Risikoanalyse bis zur Implementierung von Datenschutzstrategien reichen.

Eine Zusammenarbeit der genannten Fachleute ist zu empfehlen, um ein umfassendes Bild der Risiken und erforderlichen Schutzmaßnahmen zu erhalten und so die sichere Einführung neuer Software zu gewährleisten.

Praktische Tipps zur Handhabung gibt der Bayerische Landesbeauftragte für Datenschutz im folgenden Dokument: https://www.datenschutz-bayern.de/dsfa/OH_Risiko.pdf

Verzeichnis von Verarbeitungstätigkeiten

Für die Sicherstellung von Transparenz und die Einhaltung gesetzlicher Bestimmungen ist es unerlässlich, ein Verzeichnis aller Verarbeitungstätigkeiten zu führen, die personenbezogene Daten betreffen. Dies gilt auch für die Datenverarbeitung, die im Rahmen des Einsatzes von Microsoft 365 erfolgt. Alle Verarbeitungstätigkeiten, die Sie im Zusammenhang mit Ihrem Unternehmen durchführen, müssen in diesem Verzeichnis erfasst werden.

Gesetzestext und Handlungsempfehlungen:
Nach Artikel 30 der Datenschutz-Grundverordnung (DSGVO) sind Unternehmen verpflichtet, ein solches Verzeichnis zu führen. Es sollte nicht nur die Art der Daten und den Zweck der Verarbeitung dokumentieren, sondern auch die betroffenen Personengruppen und die Datenempfänger auflisten. Dieses Verzeichnis ist regelmäßig zu aktualisieren und bei der Implementierung neuer Tools oder Verarbeitungsaktivitäten entsprechend anzupassen.

Was macht ein Verzeichnis von Verarbeitungstätigkeiten?
Ein Verzeichnis von Verarbeitungstätigkeiten dient dazu, einen Überblick über alle Prozesse zu bieten, bei denen personenbezogene Daten verarbeitet werden. Es hilft nicht nur dabei, die Verarbeitungsvorgänge innerhalb eines Unternehmens transparent zu machen, sondern auch dabei, regulatorischen Anforderungen nachzukommen. Das Verzeichnis ist somit ein zentrales Instrument zur Risikoverwaltung und -überwachung in Bezug auf den Datenschutz.

Expertenunterstützung bei Risikoanalysen und Datenschutzfolgeabschätzungen:
Bei der Durchführung einer Risikoanalyse und Datenschutzfolgeabschätzung sind verschiedene Experten wie Datenschutzbeauftragte, IT-Sicherheitsexperten, Rechtsberater und spezialisierte Beratungsfirmen erforderlich. Sie arbeiten zusammen, um Risiken zu identifizieren und Schutzmaßnahmen zu entwickeln, die die Einhaltung der Datenschutzgesetze gewährleisten und die Sicherheit der Softwarenutzung sicherstellen.

Erstellen eines Berechtigungskonzept

Erstellen Sie ein Berechtigungskonzept. Ein effektives Berechtigungskonzept stellt sicher, dass Inhalte nur von Personen eingesehen werden können, die dazu autorisiert sind. Die Verwaltung und Vergabe dieser Zugriffsrechte, muss zentral durch eine verantwortliche Person oder Abteilung gesteuert werden, um den Zugang adäquat zu regeln und bei Bedarf einzuschränken. Somit entsprechen Sie auch dem in der DSGVO Artikel 5 (1) c  geforderten Grundsatz der Datenminimierung. Nur die Personen haben Zugriff auf die Daten, die Sie unbedingt benötigen.

In Microsoft 365 E5 sind umfangreiche Funktionen zur Rechteverwaltung und zum Zugriffsmanagement enthalten. Diese Suite bietet erweiterte Sicherheitsfeatures, die es Administratoren ermöglichen, Berechtigungen präzise zu steuern und zu überwachen. Dazu gehören Tools zur Identitäts- und Zugriffsverwaltung, die sicherstellen, dass nur berechtigte Nutzer Zugriff auf bestimmte Informationen und Ressourcen haben. E5 beinhaltet zudem erweiterte Compliance- und Sicherheitsmaßnahmen, die besonders für Unternehmen mit hohen Sicherheitsanforderungen geeignet sind.

Binden Sie Ihre Mitarbeiter ein

Schulungen allein reichen nicht aus. Es ist ebenso wichtig, die Mitarbeiter umfassend darüber zu informieren, welche Tools sie nutzen, zu welchem Zweck diese eingesetzt werden und welche datenschutzrechtlichen Herausforderungen dabei auftreten können. Zusätzlich sollten sie lernen, wie sie auf spezifische Probleme reagieren können. Ein praktisches Beispiel hierfür ist der Umgang mit Links: Mitarbeiter müssen geschult werden, Links sicher zu erkennen und weiterzugeben, um zu verhindern, dass unberechtigte Personen Zugang zu sensiblen Informationen erhalten. Praxisorientierte Online-Schulungen, die speziell auf die Bedürfnisse der Mitarbeiter abgestimmt sind, spielen eine entscheidende Rolle dabei, das Bewusstsein für Datenschutzpraktiken zu schärfen und einen sicheren Umgang nicht nur mit Microsoft 365 zu gewährleisten, sondern mit allen technischen Anwendungen, die im Arbeitsalltag genutzt werden.

Microsoft 365 Administratoren und Datenschutz

Es ist essentiell, sich auf Ihren IT-Dienstleister zu verlassen, wenn es um die Durchführung administrativer Einstellungen geht. Dabei sollten Sie besonders darauf achten, ob der Dienstleister entsprechende Microsoft Zertifizierungen besitzt, die seine Kompetenz und Vertrauenswürdigkeit im Bereich IT-Sicherheit und Datenschutz bestätigen. Um sicherzustellen, dass eigene Administratoren die Datenschutz- und Sicherheitseinstellungen effektiv verwalten können, sind speziell entwickelte Online-Schulungsprogramme erforderlich, die ihnen das notwendige Wissen vermitteln. Ein guter Hinweis hierfür ist, dass der entsprechende Dienstleister z.B. eine Zertifizierung als CSP-Partner oder LAR-Partner hat.

Implementierung eines Dokumentenmanagementsystem (DMS)

Ein Dokumentenmanagementsystem (DMS) ist eine unverzichtbare Lösung für die sichere Verwaltung von personenbezogenen Daten. Durch die Implementierung eines DMS, das den Datenschutzbestimmungen entspricht, gewährleisten Unternehmen einen sicheren Umgang mit sensiblen Informationen. Diese Maßnahme ist grundsätzlich von entscheidender Bedeutung, da sie sicherstellt, dass die Nutzung von Microsoft 365 und anderen Programmen, nicht nur effizient, sondern auch vollständig datenschutzkonform ist.
Je nach den Anforderungen Ihres Unternehmens und Ihrem Budget können Sie das für Sie passende DMS auswählen. Es ist ratsam, eine gründliche Recherche durchzuführen und gegebenenfalls Fachleute oder Berater hinzuzuziehen, um die beste Lösung für Ihre Bedürfnisse zu finden.

Fazit zu Microsoft 365

Die Datenschutzkonformität von Microsoft 365 ist ein kontroverses Thema, das weiterhin Diskussionen hervorrufen wird. Doch durch die Berücksichtigung der empfohlenen Richtlinien ist eine datenschutzkonforme Nutzung möglich.

Die Auswahl der passenden Datenschutzstrategie ist dabei von entscheidender Bedeutung und erfordert eine gründliche Auseinandersetzung mit den Bedürfnissen Ihres Unternehmens, sowie den dazu nötigen Werkzeugen. Dies umfasst die Festlegung von Zielen sowie die Auswahl und Konfiguration der richtigen Produkteinstellungen, um die Datenschutzkonformität zu gewährleisten.

Eine fundierte Entscheidung basiert auf einer detaillierten Analyse der damit verbundenen Risiken und Vorteilen, wobei es empfehlenswert ist, sich hierbei von Experten beraten zu lassen. Eine Diskussion mit dem Datenschutzbeauftragten oder rechtlichen Beratern kann dabei helfen, eine wohlüberlegte Entscheidung zu treffen.